觸屏版
全國服務(wù)熱線:0571-87205688
登錄
注冊(cè)
客戶中心
關(guān)注云客
2014年底,百度已對(duì)部分地區(qū)開放HTTPS加密搜索服務(wù),隨后,百度實(shí)行全站化HTTPS安全加密服務(wù),百度HTTPS安全加密已覆蓋主流瀏覽器,旨在用戶打造了一個(gè)更隱私化的互聯(lián)網(wǎng)空間、加速了國內(nèi)互聯(lián)網(wǎng)的HTTPS化。同時(shí)也希望更多網(wǎng)站加入到HTTPS的隊(duì)伍中來,為網(wǎng)絡(luò)安全貢獻(xiàn)一份力量。
第一節(jié):什么是HTTPS
隨著網(wǎng)絡(luò)不斷融入日常生活和工作當(dāng)中,網(wǎng)絡(luò)安全問題一直都是一個(gè)不能忽略的問題。據(jù)CNCERT監(jiān)測(cè)發(fā)現(xiàn),2015年網(wǎng)頁仿冒、拒絕服務(wù)攻擊等已經(jīng)形成成熟地下產(chǎn)業(yè)鏈的威脅仍然呈現(xiàn)增長趨勢(shì),針對(duì)中國網(wǎng)站的仿冒頁面(URL鏈接)191699個(gè),較2014年增長85.7%,涉及IP地址20488個(gè),較2014年增長199.4%。網(wǎng)頁篡改、網(wǎng)站后門等攻擊事件層出不窮,黨政機(jī)關(guān)、科研機(jī)構(gòu)、重要行業(yè)單位網(wǎng)站依然是黑客組織攻擊特別是APT攻擊的重點(diǎn)目標(biāo)。2015年被植入后門的中國網(wǎng)站數(shù)量為75028個(gè),較2014年增長86.7%,其中政府網(wǎng)站為3514個(gè),較2014年增長130%。
2014年底,百度已對(duì)部分地區(qū)開放HTTPS加密搜索服務(wù),隨后,百度實(shí)行全站化HTTPS安全加密服務(wù),百度HTTPS安全加密已覆蓋主流瀏覽器,旨在用戶打造了一個(gè)更隱私化的互聯(lián)網(wǎng)空間、加速了國內(nèi)互聯(lián)網(wǎng)的HTTPS化。同時(shí)也希望更多網(wǎng)站加入到HTTPS的隊(duì)伍中來,為網(wǎng)絡(luò)安全貢獻(xiàn)一份力量。
HTTPS是什么
HTTPS(全稱:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全為目標(biāo)的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,HTTPS的安全基礎(chǔ)是SSL,因此加密的詳細(xì)內(nèi)容就需要SSL。 HTTPS存在不同于HTTP的默認(rèn)端口及一個(gè)加密/身份驗(yàn)證層(在HTTP與TCP之間)。這個(gè)系統(tǒng)提供了身份驗(yàn)證與加密通訊方法?,F(xiàn)在它被廣泛用于萬維網(wǎng)上安全敏感的通訊,例如交易支付方面。
傳統(tǒng)的HTTP模式,存在著大量的灰色中間環(huán)節(jié),相關(guān)信息很容易被竊取,但HTTPS卻是通過認(rèn)證用戶與服務(wù)器,將數(shù)據(jù)準(zhǔn)確地發(fā)送到客戶機(jī)與服務(wù)器,并采用加密方式以防數(shù)據(jù)中途被盜取,大大降低了第三方竊取信息、篡改冒充身份的風(fēng)險(xiǎn)。
HTTPS安全原理解析
HTTPS主要由有兩部分組成:HTTP + SSL / TLS,也就是在HTTP上又加了一層處理加密信息的模塊。服務(wù)端和客戶端的信息傳輸都會(huì)通過TLS進(jìn)行加密,所以傳輸?shù)臄?shù)據(jù)都是加密后的數(shù)據(jù)。HTTPS與HTTP的原理區(qū)別可以觀察下圖:
HTTP工作原理:
①客戶端的瀏覽器首先要通過網(wǎng)絡(luò)與服務(wù)器建立連接,該連接是通過TCP來完成的,一般TCP連接的端口號(hào)是80。 建立連接后,客戶機(jī)發(fā)送一個(gè)請(qǐng)求給服務(wù)器,請(qǐng)求方式的格式為:統(tǒng)一資源標(biāo)識(shí)符(URL)、協(xié)議版本號(hào),后邊是MIME信息包括請(qǐng)求修飾符、客戶機(jī)信息和許可內(nèi)容。
?、?服務(wù)器接到請(qǐng)求后,給予相應(yīng)的響應(yīng)信息,其格式為一個(gè)狀態(tài)行,包括信息的協(xié)議版本號(hào)、一個(gè)成功或錯(cuò)誤的代碼,后邊是MIME信息包括服務(wù)器信息、實(shí)體信息和可能的內(nèi)容。
HTTPS的工作原理:
?、? 客戶端將它所支持的算法列表和一個(gè)用作產(chǎn)生密鑰的隨機(jī)數(shù)發(fā)送給服務(wù)器;
?、? 服務(wù)器從算法列表中選擇一種加密算法,并將它和一份包含服務(wù)器公用密鑰的證書發(fā)送給客戶端;該證書還包含了用于認(rèn)證目的的服務(wù)器標(biāo)識(shí),服務(wù)器同時(shí)還提供了一個(gè)用作產(chǎn)生密鑰的隨機(jī)數(shù);
③. 客戶端對(duì)服務(wù)器的證書進(jìn)行驗(yàn)證(有關(guān)驗(yàn)證證書,可以參考數(shù)字簽名),并抽取服務(wù)器的公用密鑰;然后,再產(chǎn)生一個(gè)稱作pre_master_secret的隨機(jī)密碼串,并使用服務(wù)器的公用密鑰對(duì)其進(jìn)行加密(參考非對(duì)稱加/解密),并將加密后的信息發(fā)送給服務(wù)器;
?、? 客戶端與服務(wù)器端根據(jù)pre_master_secret以及客戶端與服務(wù)器的隨機(jī)數(shù)值獨(dú)立計(jì)算出加密和MAC密鑰(參考DH密鑰交換算法)。
?、? 客戶端將所有握手消息的MAC值發(fā)送給服務(wù)器;
?、? 服務(wù)器將所有握手消息的MAC值發(fā)送給客戶端。
HTTPS的數(shù)據(jù)加密性:
HTTPS中數(shù)據(jù)的保密性主要是通過加密完成的。加密算法一般分為兩種,一種是非對(duì)稱加密(也叫公鑰加密),另外一種是對(duì)稱加密(也叫密鑰加密)。
HTTPS使用非對(duì)稱加解密主要有兩個(gè)作用,一個(gè)是密鑰協(xié)商,另外可以用來做數(shù)字簽名。所謂密鑰協(xié)商簡單說就是根據(jù)雙方各自的信息計(jì)算得出雙方傳輸內(nèi)容時(shí)對(duì)稱加解密需要使用的密鑰。如下圖:
HTTS多次握手和復(fù)雜的加密機(jī)制有效的加大了網(wǎng)站的安全性,加密機(jī)制與認(rèn)證機(jī)制可以減少網(wǎng)站被劫持和假冒的風(fēng)險(xiǎn)!
第二節(jié):搭建HTTPS的準(zhǔn)備工作
搭建HTTPS網(wǎng)站的準(zhǔn)備工作
簡單來說,HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議,所以HTTPS網(wǎng)站搭建中比較重要的內(nèi)容都是圍繞著SSL證書進(jìn)行的。
那我們應(yīng)該做什么準(zhǔn)備工作,如下圖:
網(wǎng)站選型:HTTPS會(huì)提升網(wǎng)站安全性,同樣也拉高技術(shù)成本,所以我們建議一些涉及到用戶隱私信息的網(wǎng)站進(jìn)行HTTPS建設(shè),公開性的內(nèi)容是根據(jù)網(wǎng)站自身情況進(jìn)行選擇;
證書申請(qǐng):
①CSR文件制作:申請(qǐng)SSL證書之前,需要制作CSR文件,CSR,Certificate Signing Request,是制作SSL 證書的必要步驟。一個(gè) CSR 文件中描述了 SSL 證書持有人的信息(如個(gè)人姓名或公司名稱)、聯(lián)系地址等,用于驗(yàn)證 SSL 證書和域名是同一個(gè)人持有,以確保網(wǎng)站的合法性。制作完成后向 SSL 證書提供商上傳這個(gè)文件,以獲得最終的 SSL 證書。
在申請(qǐng)服務(wù)器證書時(shí),不要出現(xiàn)某些特殊字符,否則在您提交CSR后,會(huì)出現(xiàn)"105"的錯(cuò)誤代碼。這個(gè)錯(cuò)誤是由于在您生成CSR時(shí),輸入的信息中包含一些特殊字符,如:(@,#,&,!,等等,例如:您可以將"&"用"and"代替)。
在您生成CSR時(shí),公用名(Common Name)是必須填寫的,但許多客戶填寫這一項(xiàng)時(shí),經(jīng)常填錯(cuò)或不符合標(biāo)準(zhǔn)。
公用名(Common Name) 是您的主機(jī)名+域名,比如:www.willrey.com維瑞的服務(wù)器證書是頒發(fā)給某一臺(tái)主機(jī)的,而不是一個(gè)域,您的公用名(Common Name)必須與您要使用服務(wù)器證書的主機(jī)的全名完全相同,因?yàn)閣ww.domain.com與domain.com是不同的。
要生成CSR文件,你必須為服務(wù)器創(chuàng)建一對(duì)密鑰對(duì)。密鑰對(duì)和證書是不可分開的,一旦您遺失了公鑰、私鑰或密碼,重新生成密鑰對(duì)后,和原來的證書就不匹配了。如果您申請(qǐng)的是全球信SSL證書,可以重新提交CSR免費(fèi)重發(fā)證書;如果您申請(qǐng)的是閃快SSL證書,就必須重新付費(fèi)申請(qǐng)證書。
?、贑A認(rèn)證證書申請(qǐng):將CSR提交給CA,CA一般有2種認(rèn)證方式:
1)域名認(rèn)證:一般通過對(duì)管理員郵箱認(rèn)證的方式,這種方式認(rèn)證速度快,但是簽發(fā)的證書中沒有企業(yè)的名稱; 2)企業(yè)文檔認(rèn)證:需要提供企業(yè)的營業(yè)執(zhí)照。 也有需要同時(shí)認(rèn)證以上2種方式的證書,叫EV ssl證書,這種證書可以使IE7以上的瀏覽器地址欄變成綠色,所以認(rèn)證也最嚴(yán)格。
③證書安裝:
在收到CA的證書后,可以將證書部署上服務(wù)器,一般APACHE文件直接將KEY+CER復(fù)制到文件上,然后修改httpD.CONF文件;TOMCAT等,需要將CA簽發(fā)的證書CER文件導(dǎo)入JKS文件后,復(fù)制上服務(wù)器,然后修改SERVER.XML;IIS需要處理掛起的請(qǐng)求,將CER文件導(dǎo)入。
鑒于對(duì)建站成本的考慮,需要高級(jí)別ssl 證書的往往是大中型網(wǎng)站,如網(wǎng)上銀行、購物網(wǎng)站、金融證券、政府機(jī)構(gòu)等,諸如個(gè)人博客之類的小型站點(diǎn)完全可以先嘗試免費(fèi)ssl證書。
服務(wù)器選購:
考慮到CSR和SSL證書與服務(wù)器的環(huán)境配置及功能支持有必不可分的聯(lián)系,建議在再選購服務(wù)器之前做好充分的考慮。尤其是對(duì)服務(wù)器是否支持SSL功能,是否與證書匹配等功能需要重視;
網(wǎng)站開發(fā):
由于網(wǎng)站功能與開發(fā)語言各不相同,在這就不詳細(xì)說明網(wǎng)站開發(fā)的準(zhǔn)備工作了,HTTPS網(wǎng)站與HTTP網(wǎng)站在開發(fā)期間基本是一致的,只是使用協(xié)議不同。
HTTPS網(wǎng)站搭建中的注意事項(xiàng)
HTTPS網(wǎng)站的加密功能決定了在搭建過程中一定要注意一些問題:
1、衡量投入與產(chǎn)出:無論是做一個(gè)新的HTTPS站還是從HTTP轉(zhuǎn)成HTTPS的網(wǎng)站,都需要投入硬件、軟件、人力等新的成本,所以在未評(píng)估之前建議不要做;一旦做好,輕易不要關(guān)閉HTTPS網(wǎng)站倒退回HTTP,這種倒退行為很容易造成不利影響;
2、證書申請(qǐng)機(jī)構(gòu):在選擇申請(qǐng)機(jī)構(gòu)之前一定要考察核對(duì)該機(jī)構(gòu)是否有可信資質(zhì),有些機(jī)構(gòu)沒有被國際機(jī)構(gòu)認(rèn)可(瀏覽器上會(huì)沒有小綠鎖),也有些機(jī)構(gòu)在訪問地獄上有所限制,還有的機(jī)構(gòu)出現(xiàn)過公鑰泄露的情況,所以請(qǐng)慎重選擇;
3、證書的選擇:因?yàn)榫W(wǎng)站的開發(fā)語言、使用功能和服務(wù)器環(huán)境不同,證書的選擇也不同,所以在選擇時(shí)要考慮好需要什么證書,避免浪費(fèi)成本;
4、網(wǎng)站路徑方式:在HTTP網(wǎng)站上絕對(duì)路徑和相對(duì)路徑并沒有明顯的區(qū)別,但是在HTTPS和HTTP共存的情況如果使用絕對(duì)路徑容易出現(xiàn)協(xié)議混淆的情況,如果混淆后可能會(huì)出現(xiàn)鏈接打不開,或者蜘蛛抓取失敗等現(xiàn)象,這個(gè)應(yīng)該十分注意!
5、服務(wù)器的訪問速度:由于HTTPS多次握手的特性,網(wǎng)站速度是一定會(huì)受到影響的,所以在搭建網(wǎng)站的同時(shí)要注意網(wǎng)站速度的優(yōu)惠,可以適當(dāng)考慮使用CDN等產(chǎn)品。
第三節(jié):HTTPS的優(yōu)點(diǎn)與缺點(diǎn)
網(wǎng)站要不要做HTTPS(來自社區(qū)調(diào)研)
百度站長社區(qū)對(duì)于做不做HTTPS網(wǎng)站的問題進(jìn)行了相關(guān)調(diào)研,如下圖:
調(diào)研中發(fā)現(xiàn),大多數(shù)人對(duì)HTTPS持觀望態(tài)度,他們對(duì)HTTPS安全性是認(rèn)可的,但是從各個(gè)層面進(jìn)行考慮后,做出了目前不做HTTPS網(wǎng)站的決定,主要有以下兩種觀點(diǎn):
正方觀點(diǎn)
1、HTTPS具有更好的加密性能,避免用戶信息泄露;2、HTTPS復(fù)雜的傳輸方式,降低網(wǎng)站被劫持的風(fēng)險(xiǎn);3、搜索引擎已經(jīng)全面支持HTTPS抓取、收錄,并且會(huì)優(yōu)先展示HTTPS結(jié)果;4、從安全角度來說個(gè)人覺得要做HTTPS,不過HTTPS可以采用登錄后展示;5、HTTPS綠鎖表示可以提升用戶對(duì)網(wǎng)站信任程度;6、基礎(chǔ)成本可控,證書及服務(wù)器已經(jīng)有了成型的支持方案;7、網(wǎng)站加載速度可以通過cdn等方式進(jìn)行彌補(bǔ),但是安全不能忽略;8、HTTPS是網(wǎng)絡(luò)的發(fā)展趨勢(shì),早晚都要做;9、可以有效防止山寨、鏡像網(wǎng)站;
反方觀點(diǎn)
1、HTTPS會(huì)降低用戶訪問速度,增加網(wǎng)站服務(wù)器的計(jì)算資源消耗;2、目前搜索引擎只是收錄了小部分HTTPS內(nèi)容,應(yīng)該保持觀望制度;3、HTTPS需要申請(qǐng)加密協(xié)議,增加了運(yùn)營成本;4、百度目前對(duì)HTTPS的優(yōu)先展現(xiàn)效果不明顯,谷歌較為明顯;5、技術(shù)門檻較高,無從下手;6、目前站點(diǎn)不涉及私密信息,無需HTTPS;7、兼容性有待提升,如robots不支持/聯(lián)盟廣告不支持等;8、HTTPS網(wǎng)站的安全程度有限,該被黑還是被黑;9、HTTPS維護(hù)比較麻煩,在搜索引擎支持HTTP的情況,沒必要做HTTPS;
HTTPS的優(yōu)點(diǎn)與缺點(diǎn)
根據(jù)案例反饋,目前HTTPS的優(yōu)缺點(diǎn)主要分布在三方面:
HTTPS的優(yōu)點(diǎn):
安全性方面
在目前的技術(shù)背景下,HTTPS是現(xiàn)行架構(gòu)下最安全的解決方案,主要有以下幾個(gè)好處:
1、使用HTTPS協(xié)議可認(rèn)證用戶和服務(wù)器,確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器;
2、HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議,要比http協(xié)議安全,可防止數(shù)據(jù)在傳輸過程中不被竊取、改變,確保數(shù)據(jù)的完整性。
3、HTTPS是現(xiàn)行架構(gòu)下最安全的解決方案,雖然不是絕對(duì)安全,但它大幅增加了中間人攻擊的成本。
HTTPS的缺點(diǎn):
技術(shù)方面
1、相同網(wǎng)絡(luò)環(huán)境下,HTTPS協(xié)議會(huì)使頁面的加載時(shí)間延長近50%,增加10%到20%的耗電。此外,HTTPS協(xié)議還會(huì)影響緩存,增加數(shù)據(jù)開銷和功耗。
2、HTTPS協(xié)議的安全是有范圍的,在黑客攻擊、拒絕服務(wù)攻擊、服務(wù)器劫持等方面幾乎起不到什么作用。
3、最關(guān)鍵的,SSL 證書的信用鏈體系并不安全。特別是在某些國家可以控制 CA 根證書的情況下,中間人攻擊一樣可行。
成本方面
1、SSL的專業(yè)證書需要購買,功能越強(qiáng)大的證書費(fèi)用越高。個(gè)人網(wǎng)站、小網(wǎng)站可以選擇入門級(jí)免費(fèi)證書。
2、SSL 證書通常需要綁定 固定IP,為服務(wù)器增加固定IP會(huì)增加一定費(fèi)用;
3、HTTPS 連接服務(wù)器端資源占用高較高多,相同負(fù)載下會(huì)增加帶寬和服務(wù)器投入成本;
既然HTTPS有這么多缺點(diǎn),那是不是就不該做呢,當(dāng)然不是的,隨著技術(shù)的發(fā)展很多缺點(diǎn)是可以優(yōu)化和彌補(bǔ)的。比如:
打開速度問題完全可以通過CDN加速解決,很多IDC也在著手推出免費(fèi)證書和一站式HTTPS搭建服務(wù),HTTPS成本在未來將會(huì)大大縮??!
第四節(jié):百度對(duì)HTTPS的支持
2015年5月25日,百度站長平臺(tái)發(fā)布公告,宣布全面放開對(duì)https站點(diǎn)的收錄,https站點(diǎn)不再需要做任何額外工作即可被百度抓收。處于HTTPS的安全性,百度對(duì)HTTPS一直持支持態(tài)度,為了提升百度搜索對(duì)HTTPS網(wǎng)站的友好度,特別進(jìn)行了一系列升級(jí)。
站長平臺(tái):百度平臺(tái)目前已經(jīng)完美支持HTTPS驗(yàn)證,并為HTTPS準(zhǔn)備了相應(yīng)的數(shù)據(jù)提交接口,第一時(shí)間對(duì)HTTPS進(jìn)行數(shù)據(jù)接收;
百度搜索:目前Baidu Spider3.0已經(jīng)順利升級(jí),可以正常抓取HTTPS內(nèi)容,并進(jìn)行正常的收錄和索引,根據(jù)HTTPS網(wǎng)站的普及情況,還將會(huì)進(jìn)行優(yōu)先展示HTTPS結(jié)果等策略升級(jí);
其他支持:目前百度各方面也在全力支持HTTPS,已經(jīng)推出HTTPS服務(wù)有百度開放云的CDN和云主機(jī)
評(píng)論(0人參與,0條評(píng)論)
發(fā)布評(píng)論
最新評(píng)論